[highroller]

Нужна помощь.

Есть железка DES-3200-28 С1. Требуется привязать определенный ip к определенному порту БЕЗ привязки к маку.

Например, разрешить трафик на 24 порту ТОЛЬКО от адреса 192.168.1.2. Средствами ACL сделать не получается, т.к. в C1 ограничение на количество создаваемых профилей. Пробовал разобраться с PCF и еще больше запутался. Заранее спасибо

[vurd]

Всё там получается. Работает годами.

 

create access_profile profile_id 3 profile_name IPControl ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0
config access_profile profile_id 3 add access_id 1 ip source_ip <USER_IP> port 1 permit
config access_profile profile_id 3 add access_id 2 ip source_ip <USER_IP> port 2 permit
..
config access_profile profile_id 3 add access_id 24 ip source_ip <USER_IP> port 24 permit
config access_profile profile_id 3 add access_id 100 ip destination_ip 0.0.0.0 port 1-24 deny

[xcme]

Пробовал разобраться с PCF и еще больше запутался.

Я теперь делаю только на PCF, т.к. эти правила гибче. :) Для C1 правда вот никак не напишу, есть только пара наработок.

[vurd]

Я PCF-ом еще и левые ARP блокирую на абонентских портах. Нннаада?

[pppoetest]

Ннннада. В академических целях.

[highroller]

vurd Спасибо, помогло!

 

xcme Может разберете свой пример пошагово? Я думаю не только мне будет интересно

[vurd]

Ннннада. В академических целях.

 

create access_profile profile_id 5 profile_name ARPControl packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 7 0xFFFF offset_chunk_3 8 0xFFFF0000
config access_profile profile_id 5 add access_id 1 packet_content offset_chunk_1 0x806 offset_chunk_2 0xAABB offset_chunk_3 0xCCDD0000 port 1 permit
config access_profile profile_id 5 add access_id 100 packet_content offset_chunk_1 0x806 port 1-24 deny

 

Где в offset_chunk_2 пишем в hex первые 2 байта ip-адреса, а в offset_chunk_3 вторые.

Пример для 127.0.0.1 будет следующим:

offset_chunk_2 0x7F00 offset_chunk_3 0x00010000